Android 17 integra la criptografía postcuántica ML-DSA en Verified Boot y Keystore
Google está integrando la criptografía postcuántica (PQC) en Android para proteger contra ataques cuánticos. Para 2029, todo el ecosistema hará la transición a algoritmos resistentes a la cuántica. Los primeros cambios debutarán en la beta de Android 17: integración de ML-DSA en Verified Boot, cambio a atestación PQC y actualizaciones en KeyMint para cadenas de certificados.
Esto garantizará la integridad del arranque y la verificación remota del dispositivo en un entorno postcuántico. Los desarrolladores obtendrán herramientas en Android Keystore y un nuevo SDK para generar claves ML-DSA-65 y ML-DSA-87.
Integración de ML-DSA en Verified Boot
El algoritmo ML-DSA (anteriormente Dilithium) se está añadiendo a Android Verified Boot para crear firmas digitales durante el arranque. Esto evitará modificaciones de software mediante métodos cuánticos, como ataques a RSA y ECC.
Cambios clave:
- Firmas digitales: ML-DSA genera firmas resistentes a la cuántica para imágenes de arranque.
- Soporte de hardware: Integración en el Trusted Execution Environment (TEE) mediante KeyMint.
- Compatibilidad: Cadenas de certificados híbridas que combinan algoritmos clásicos y PQC.
Los dispositivos podrán atestar remotamente su estado, confirmando que no hay compromiso incluso contra amenazas de tipo «cosecha ahora, descifra después».
Atestación remota en arquitectura PQC
Android 17 está pasando a una atestación remota compatible con PQC. KeyMint actualizará las cadenas de certificados para soportar ML-DSA, permitiendo que las partes confiables (servicios, OEM) verifiquen la integridad.
Proceso:
- El dispositivo genera un desafío de atestación con firmas PQC.
- El servidor verifica la cadena mediante certificados raíz actualizados.
- Confirmación de los estados del TEE y componentes del sistema.
Esto es crítico para apps empresariales y arquitecturas Zero Trust, donde los riesgos cuánticos están creciendo.
Soporte para desarrolladores en Android Keystore y SDK
Android Keystore se está expandiendo para soportar ML-DSA en firmas protegidas por hardware. El nuevo SDK PQC proporciona la API KeyPairGenerator para ML-DSA-65 (alta seguridad) y ML-DSA-87 (equilibrio de rendimiento).
Ejemplo de generación de claves:
KeyPairGenerator kpg = KeyPairGenerator.getInstance("ML-DSA-65", "AndroidKeyStore");
kpg.initialize(new KeyGenParameterSpec.Builder("pqc_key", KeyProperties.PURPOSE_SIGN)
.setKeySize(2560)
.build());
KeyPair kp = kpg.generateKeyPair();
Google Play introducirá la generación automática de firmas híbridas: clave clásica + ML-DSA. Esto simplificará la migración de APK sin recompilar código.
Comparación con otras plataformas
Google sigue la tendencia: Microsoft ha integrado ML-KEM y ML-DSA en Windows Server 2025, Windows 11 y .NET 10. Los algoritmos PQC de NIST ya están estandarizados, y los sistemas cuánticos se usan en tareas del mundo real.
Tabla de comparación de rendimiento (datos aproximados de NIST):
| Algoritmo | Tamaño de clave (bits) | Firma (KB) | Verificación (ms) |
|-------------|------------------------|------------|-------------------|
| ML-DSA-65 | 2560 | 2.4 | 0.5 |
| ML-DSA-87 | 3648 | 3.2 | 0.8 |
| ECDSA P-384 | 384 | 0.07 | 0.1 |
PQC añade sobrecarga, pero asegura resiliencia.
Lo más importante
- Cronograma de migración: Transición completa del ecosistema Android a PQC para 2029.
- Beta de Android 17: Primera implementación de ML-DSA en Verified Boot y atestación.
- Para desarrolladores: Nuevo SDK y API de Keystore para ML-DSA-65/87, firmas híbridas en Play.
- Arquitectura: Actualizaciones de KeyMint para cadenas de certificados PQC.
- Contexto: Protección contra amenazas cuánticas como el algoritmo de Shor en RSA/ECC.
— Editorial Team
Aún no hay comentarios.